防火墙实施方案

防火墙实施方案
PICC防火墙实施步骤
当前PICC两台McAfee防火墙运行在双机模式下。

目前的状态如下：外网端口为em2,IP为10.3.3.81（aliasesIP为10.3.3.80）
内网端口为em1和em0.IP地址分别为:172.16.16.202(aliasesIP为172.16.16.201)和10.1.1.252（aliasesIP为10.1.1.254）心跳端口为em3，IP地址为192.168.100.1（aliasesIP为
192.168.100.3）
外网端口为em2,IP为10.3.3.82（aliasesIP为10.3.3.80）
内网端口为em1和em0.IP地址分别为:172.16.16.203(aliasesIP为172.16.16.201)和10.1.1.253（aliasesIP为10.1.1.254）心跳端口为em3，IP地址为192.168.100.2（aliasesIP为
192.168.100.3）
双机虚地址为：
心跳线由一根网线组成，虚IP分别为：
外网：10.3.3.80内网：10.1.1.254内网：172.16.16.201心跳：
192.168.100.3
也就是表明，当前两台防火墙共用一个外网地址10.3.3.80，两个内网地址10.1.1.254和172.16.16.201.为了完成对当前设备的正常割接，我们需要对新设备进行初始化设置和双机安装。

首先进行新设备SW1的配置。

线下的配置：
SW1的配置：
开机画面
同意license许可，并输入Y进入下一步。

按照以上截图中相关信息进行填写，这里的信息可以非正式。

此截图配置此防火墙为标准模式（路由模式），并允许基本的网络访
问服务。

以上截图为配置的重点。

需要注意，externalIP即为外网
IP(10.3.3.81)，internalIP即为内网IP(172.16.16.202)。

默认只有内
网IP可以被访问和登录。

依次输入DNS(202.106.0.20)和默认网关
(10.3.3.3)。

设置登录防火墙的初始用户名和密码。

这里设置的用户名为swadmin密码为admin123
待完成密码设置后，防火墙配置即告完成，输入A表示同意以上配置。

并回车，系统会自动进行服务重启，当看到login登录标识即表示防火墙
已经初始化完成。

在安装了McAfeeAdminconsole的机器上打开此程序，并添加SX1的
IP到程序中。

即可登录进行管理。

到此已经可以正常使用防火墙了。

接下来进行license激活和软件更新。

进入maintenance选项，并找到license一项。

点击
acitvatefirewall即可激活license。

但需要注意，此时的firewall一
定要能够访问外网。

否则无法从McAfeelicense服务器中取到此设备的license。

软件更新
然后到softwaremanagement中升级当前防火墙到最新的软件版本。

接下来就是对时区的设置。

更改时区：
为了更加清晰的了解当前防火墙的端口配置，可到Network选项下的interfaces里查看当前已经配置的端口及其对应的IP地址。

查看网络端口：
查看网络区域：
完成SW1的初始安装，接下来进行SW2的安装，同样首先开启该设备。

SW2的配置：
同意license许可，并输入Y进入下一步。

按照以上截图中相关信息进行填写，这里的信息可以非正式。

此截图配置此防火墙为标准模式（路由模式），并允许基本的网络访
问服务。

以上截图为配置的重点。

需要注意，externalIP即为外网
IP(10.3.3.82)，internalIP即为内网IP(172.16.16.203)。

默认只有内
网IP可以被访问和登录。

依次输入DNS(202.106.0.20)和默认网关
(10.3.3.3)。

设置登录防火墙的初始用户名和密码。

同样的，我们在SW2里也设置
了同样的用户名和密
码。

用户名为swadmin密码为admin123
待完成密码设置后，防火墙配置即告完成，输入A表示同意以上配置。

并回车，系统会自动进行服务重启，当看到login登录标识即表示防火墙
已经初始化完成。

在安装了McAfeeAdminconsole的机器上打开此程序，并添加SX2的
IP到程序中。

即可登录进行管理。

到此SW2已经可以正常使用了。

接下来进行license激活和软件更新。

进入maintenance选项，并找到license一项。

点击
acitvatefirewall即可激活license。

同样的，此时的firewall一定要
能够访问外网。

否则无法从McAfeelicense服务器中取到此设备的license。

软件更新
SW2也需要把软件更新到最新的版本，保证和SW1的软件版本一致。

更改时区：
更改时区到中国北京
查看网络端口：
为了更加清晰的了解当前防火墙的端口配置，可到Network选项下的interfaces里查看当前已经配置的端口及其对应的IP地址。

查看网络区域：
到此SW2的基本配置已经完成，防火墙已经运行正常，接下来需要进行配置的备份。

按照以下截图，备份SW1,SW2的配置到本机和管理服务器。

由于PICC采用双机部署，所以，为了能够完成正常的割接，我们需要把这两台新的设备配置为双机，并保证所配置的IP地址和虚地址和当前在线的旧防火墙一致。

双机配置：
双机配置需要建立一个心跳连接。

如下图所示我们需要先建立一个heartbeat区域。

取名为heartbeat。

Sw1设备上的配置:
我已经添加了一个Heartbeat区域，并绑定了网卡em2到该区域，设置了IP地址为192.168.0.200.
Sw2设备上的配置:
我们在SW2上也添加了一个Heartbeat区域，并绑定了网卡em2到该区域，设置了IP地址为192.168.0.1.
HA集群配置过程：
点击maintenance里的clusterwizard。

即可开启一个集群配置的向导。

我们采用主/备双机模式
设定内网口的虚IP地址为192.168.206.23，外网口的虚IP地址为
10.3.3.30.心跳虚IP地址为192.168.0.99
在SW1上的集群已经建立完成，通过下图可验证当前SW1已经出现了highavailability的组别。

并且SW1已经为pirmary角色。

Sw1的状态已经变为了如下状态：
添加完成后状态如上图。

接下来需要把SW2加入到sw1中：
在SW2中点击maintenance里的clusterwizard。

即可开启一个集群配置的向导。

点击加入存在的集群。

并输入密匙和对端心跳的地址192.168.0.200.
如图，集群成功建立。

集群安装完成：
此图显示SW1为主设备，SW2为备用设备。

其登录地址已经变为了shareIP：
到此，新设备的双机已经完成。

完成了新设备的双机安装后，接着需要进行如下部分的配置：
1.配置相关静态路由。

2.配置DNS地址。

(202.106.0.20)3.添加网络服务。

4.添加网络对象。

5.添加防火墙策略，并保证和旧的防火墙策略一致。

完成以上配置，并保存一次配置，即可进行正式的网络割接工作。

上线割接配置步骤：
由于当前机房电力供应紧张，所以需要较为繁琐的割接过程。

我们需要分两个部分来完成本次割接，首先是准备阶段。

办公室准备部分：
为了不对网络造成影响，我们首先需要在办公室把两台新设备升级到最新的软件版本。

机房割接部分：
两台设备已经按照旧有设备完全配置。

我们采用如下步骤进行割接。

1.首先关闭旧有设备角色为standby(备)的防火墙，此时不用拔掉网线。

2.然后开启新设备为primary（主）角色SW1防火墙，此时不用插上网线。

用笔记本接入SW1的管理口，并测试可通过shareIP管理防火墙,并登录进入防火墙，确认当前防火墙的角色为primary角色。

由于新设备已经被配置为双机模式，此时，即使备机SW2没有在线，shareIP应该也是可以工作的。

该测试必须测试直到成功为止。

然后进入下一步。

3.拔掉旧防火墙角色为primary（主）的设备的内网和外网网线，然后插入到新的防火墙角色为primary（主）的内网和外网接口中。

测试：
如果正常，关闭旧的primary（主）防火墙电源，并启动新的standby（备）防火墙电源。

如果不正常（网络不通，内网无法访问外网），把拔掉的网线再重新插入到旧的primary（主）防火墙上。

（此部分很重要）
4.拔下旧防火墙角色为standby（备）的设备内网和外网网线，并插入到新的防火墙角色为standby（备）的内网和外网接口中。

5.查看双机是否正确识别，确认主墙和备墙状态。

6.测试网络连通性。

7.割接完成。

回退步骤：把内网和外网接口插回到旧防火墙上。

请查看割接部分第3点。

附：日常管理规范：
为了保证最优的防火墙利用率和管理便捷性，建议管理员按照如下规则进行策略制定和日常管理：
1.定期登录防火墙，进行配置备份。

2.制定规范的命名规则。

建议采用按服务对象分组命名。

例如如下的NetScaller策略组.
上图能看到策略组为NetScaller,表示该组下的所有策略均与NetScaller有关。

方便进行管理和识别。

禁止出现如下方式：
该图为未分组策略，无法清晰的识别对应的服务和所属的组别。

3.添加备注和说明当添加任何网络对象，服务或策略的时候，最好在
后端添加备注和说明。

以方便识别。

如下为正确的设置：
非正式的设置如下：
4.制定策略时间性制定策略的有效期，对制定的策略进行时效性制定。

测试的策略规定有效期，过期作废。

永久策略需标明。

配置截图如下：
5.管理员密码定期更改虽然我们采用C/S架构进行管理，安全性已经
达到较高水平，但为了更加安全，建议定期进行密码修改，具体可参见PICC内部IT管理相关规范。